Аналитики VirusTotal представили отчет, посвященный методам, которые операторы малвари используют для обхода защиты и повышения эффективности социальной инженерии. Исследование показало, что злоумышленники все чаще имитируют такие легитимные приложения, как Skype, Adobe Reader и VLC Player, чтобы завоевать доверие жертв.
«Одна из самых простых уловок социальной инженерии, которую мы наблюдали, заключается в том, чтобы сделать образец вредоносного ПО похожим на законную программу, — рассказывают эксперты. — Иконка очень важна для таких программ, ведь она используется, чтобы убедить жертв в том, что эти программы являются законными».
Злоумышленники использую различные подходы к компрометации эндпоинтов, обманом заставляя пользователей загружать и запускать, казалось бы, безобидные исполняемые файлы. Исследователи сообщают, что помимо Skype, Adobe Reader и VLC Player, хакеры нередко маскируют свои программы под 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom и WhatsApp.
Такой обман, в том числе, достигается за счет использования легитимных доменов с целью обойти защиту брандмауэра. Некоторыми из наиболее часто злоупотребляемых доменов являются discordapp[.]com, squarespace[.]com, amazonaws[.]com, mediafire[.]com и qq[.]com.
В общей сложности эксперты обнаружили не менее 2,5 млн подозрительных файлов, загруженных через 101 домен, входящий в список 1000 лучших сайтов по версии Alexa.
Еще одна часто используемая тактика — подписание вредоносного ПО действительными сертификатами, как правило, украденными у разработчиков программного обеспечения. С января 2021 года VirusTotal обнаружила более миллиона образцов малвари, из которых 87% имели законную сигнатуру, когда были впервые загружены в базу данных.
Также VirusTotal сообщает, что обнаружила 1816 образцов малвари, которые маскировались под легитимное ПО, скрываясь в установщиках популярных программ, включая такие продукты, как Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox и Proton VPN.
«Размышляя о методах злоумышленников в целом, можно сделать вывод, что они могут использовать как оппортунистические факторы (например, украденные сертификаты) в краткосрочной и среднесрочной перспективе, так и рутинные (наиболее распространенные) автоматизированные процедуры, в рамках которых стремятся различными методами визуально воспроизвести [легитимные] приложения», — заключают исследователи.